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PROCEDE DE TEST DE SOURCE DE NOMBRE ALEATOIRE 
ET DISPOSITIFS ELECTRONIQUES METTANT EN OEUVRE CE 
PROCEDE 

L'invention conceme un procede de test de sources generant des 
nombres aleatoires, en particulier des sources mises au point dans le 
cadre de systemes cryptographiques tels que les generateurs de nombres 
aleatoires embarques a bord de cartes a puce. 

Elle est particulierement destinee a etre mise en oeuvre dans le 
test et la validation de dispositifs electroniques du type carte a puce, 
PCMCIA, badges, cartes sans contact ou tout autre appareil portable. 

La plupart des systemes de cryptographie a cle publique (dite 
aussi cryptographie asymetrique) et cle secrete (dite aussi cryptographie 
symetrique) necessitent le tirage d'aleas secrets. II est primordial que de 
tels aleas, ou nombres, destines a servir comme cles uiterieurement , 
soient a priori imprevisibles et ne presentent pas de regularites permettant 
de les retrouver par des strategies de recherche exhaustive ou exhaustive 
amelioree pour laquelle les cles les plus probables sont cherchees en 
premier lieu. 

A ce titre, il existe plusieurs procedes permettant de tester les 
aleas generes par une source aleatoire et de s'assurer que ladite source 
fonctionne correctement et ne presente pas de derive suite a des 
changements de parametres externes d'origine malveillante telle qu'une 
alteration par des radiations induites. 

Chacun de ces procedes s 'applique a une suite, appelee aussi 
sequence, de nombres entiers compris entre 0 et une valeurd, ladite suite 
etant generee par la source aleatoire. 

Le procede de test le plus connu est le test dit de "frequence". II 
s'agit de compter le nombre d'apparitions de chaque entier compris entre 
0 et une valeur d dans ladite sequence. Le nombre d'apparitions de 
chaque entier est ensuite evalue statistiquement. 

Un second procede de test dit de "series" consiste en un 
comptage et une evaluation statistique du nombre d'apparitions de tous 
ies couples possibles d'entiers compris entre 0 et une vaieur d. Ce 



precede de test peut etre generalise au comptage des triplets, 
quadruplets d'entiers. etc... 

Un troisieme precede de test dit de "trou" existe. Un trou dans une 
sequence est une suite de nombres a 1'exterieur d'un intervalle 
5 predetermine. II s'agit d'une evaluation statistique de la longueur desdits 
trous dans la sequence. 

Un quatrieme procede de test, dit test du "poker", existe. Le test 
consiste a grouper les nombres de la sequence par groupe de cinq 
nombres et a compter dans chaque quintuplet combien de valeurs 
10 differentes apparaissent. 

Un cinquieme procede de test dit de "collecte de coupons" 
consiste a evaluer statistiquement la taiile de sequence necessaire pour 
que toutes les valeurs entieres comprises entre 0 et d apparaissent dans 
ladite sequence. 

15 Le detail de ces procedes se trouve dans 1'ouvrage intitule: 

" Kriuth, The art of computer programming, vol. 2, Seminumerical 
algorithms 

Un autre procede de test populaire est le test universel de Maurer 
decrit dans Touvrage " Journal of Cryptology, vol. 5, n° 2, 1992, pp. 89- 

20 105 \ Ce test presente I'avantage de reveler tous les defauts decelables 
par les procedes de tests precedemment cites ainsi que d'autres defauts 
statistiques non detectes par ces memes procedes de test. 

Le procede de test, dit de Maurer, egalement denomme universel, 
comprend les etapes suivantes: 

25 Premiere etape: Generation d'une sequence de (Q+K)*L bits par 

la source aleatoire. Q, K et L sont des parametres d'entree. Les bits de la 
sequence sont groupes par bloc de L bits, formant une sequence d'entiers 
compris entre 0 et 2 1 — 1 de longueur Q+K. La longueur est memorisee 
dans le tableau block[n], ou n est compris entre 1 et Q+K. 

30 Deuxieme etape: Calcul du parametre du test, note fTU; cette 

deuxieme etape comprenant les etapes suivantes, appelees sous-etapes 
2.1 a 2.5: 

2.1 Creation et initialisation d'un tableau tab [i] de taiile 2 L ; 

2.2 Pour n variant del aQ, faire le calcul: tab[block[n]]=n; 
;-5 2.3 Initialiser le nombre Sum a 0; 



2.4 Pour n variant de Q+1 a Q+K. executer le calcul : 

Ajouter log(n-tab[blockfn]] a Sum; 
Faire le calcul: tab[blcckfn]]=n; 

2.5 Le parametre fTU du test est donne par: 
5 fTU=(Sum/K)/Log(2); 

Troisieme etape: Calcui de la variance par block de parametre du 
test, notee Var. Son expression precise est donnee dans ['article publie 
par Maurerdans I'ouvrage 11 Journal of Cryptology, vol. 5, n° 2, 1992 t pp. 
89-105 qui est : 

10 

0 Var= (1-z)* I log2(i)2* z »- 1 - ((1-z)*I log2(i)*z»-1 ) 2 , 

i =1 i=1 

avec log2(z)=log(z)/log(2) et z=1 -2" L 

Quatrieme etape: Calcul de la fonction c(L,K). Une expression 
approchee de cette fonction est donnee dans Particle de I'ouvrage 
precedent, qui est: 

c(L,K)=0,7-0,8/L+(1,6+12,8/LrKH /L ); 
Cinquieme etape: Calcul de I'ecart type du parametre de test, 
note a: a=c(L,K)*V(Var/K); 

Sixieme etape: Calcul du parametre y; y est determine a partir du 
taux de rejet du test fixe en entree, note p. y doit verifier I'equation: 
N(-y)= p . 

N est la fonction de densite nomnale decrite dans Pouvrage M R. 
Langley, Practical statistics, Dover publications, New- York, 1968 \ 
U equation N(-y)= p peut etre resoiue en utilisant une table de valeurs 
de N. Une telle table est foumie dans Particle precedent; 

Septieme etape: Calcul de la valeur moyenne ideale du test, 
notee EflTU]. Son expression est donnee dans Particle publie par Maurer 
dans Pouvrage M Journal of Cryptology, vol. 5, n°2, 1992, pp. 89-105 \ et 
vaut : 



20 



30 



E[fTU]= (1-2)* Z log2(i)*z i - 1 

i =1 



4 

avec Iog2(z)=iog(z)/iog(2) et 2=1 -2" L 

Huitieme etape: Calcul des bomes t1 et t2. Elles sont donnees par 
I'equation: t1=E[fTU]-y*a et t2=E[fTU]+y*a ; 
Neuvieme etape: Resultat du test: 
5 Si le parametre du test fTU est compris entre t1 et t2, aiors le 

generateurde nombre aleatoire est accepte. Dans le cas contraire, il est 
refuse. 

Le procede de test universel est done base sur une approximation 
10 dans le calcul de la fonction c(L,K). Cette approximation rend le test moins 
precis que ce que veut la garantie theorique lui servant de base. II est 
possible de montrer que dans certains cas, le test universel s'avere 2,67 
fois trop permissif par rapport a ce que pemnet la theorie. 



15 La presente invention a pour objet un procede de test ameliore 

permettant d'atteindre la precision reeile garantie par ('analyse theorique 
du test universel. Ce test sert notamment a ameliorer la securite de 
dispositifs portables du type carte a puce. 

Le procede de ['invention consiste a remplacer I'etape 4 du test 

20 universel par le calcul precis de la fonction c(L,K). Ce calcul est base sur 
une analyse probabiliste du test universe!. 

La presente invention donne trois expressions distinctes de !a 
fonction c(L,K) t suivant les valeurs des parametres L et K. 
25 La premiere expression de c(L,K) est valable quelque soient les 

parametres L et K. 

La deuxieme expression de c(L,K) est valable dans le cas ou la 
valeur L est comprise entre 3 et 16 et la valeur K est superieur a 30*2k ce 
qui correspond au cas le plus usuel d'utilisation du test. Elle est beaucoup 
30 plus simple a calculer que la premiere expression et peut done s'effectuer 
a bord d'un simple micro-controleur en quelques millisecondes. 

La troisieme expression de c(L t K) est valable pour une valeur de 
L>16 et une valeur de K>30*2k Cette expression est encore plus simple a 
calculer. 



La premiere expression de c(L.K) peut s'obtenir par le precede 
decrit ci-dessous qui comporte neuf etapes: 

1. Calculs de: u=1-2* L et v=1-1/(2 L -1); 
u et v etant des nombres reels; 

2. Creation de deux tableaux tab1 et tab2 de dimension 60*2 L ; 



3. Remplissage des tab1 et tab2: pour cela, 
10 3.1 Executer z=u, sum=0, z1=1; 

3.2 Pour i allant de 1 a 30*2^-, repeter les deux operations qui 
sont: ajouter Iog2(i)*zl a sum, dans laquelle log2 designe le 
logarithme en base 2 t et 
calculen z1=z1*z; 
if 3.3 Executer tab1[0]=(1-z)*sum; 

3.4 Pour i allant de 1 a 60*2 L , 

Executer tab1[i]=(tab1p-1]-(1-z)*log2(i))/z; 

3.5 Repeter les etapes 3.1, 3.2, 3.3, 3.4 en remplacant u parv et 
tab1 partab2; 

20 4. Calcul de la variance par bloc notee Van 

4.1 Executer sum=0 et x=1 ; 

4.2 Pour i variant de 1 a 30*2L, executer les deux operations qui 
sont: 

Ajouter log2(i) 2 *x a sum et 
25 Executer x=x*z; 

4.3 Faire Van=sum/2 L -tab1 [0] 2 ; 
5. Calcul de P(K): 

5.1 Faire sum=0 et x=1 

5.2 Pour i variant de 1 a 30*2^-; faire les trois operations 
30 suivantes: 

Calculer y: y=u 2 *(tab2[i+K-1]-tab1 p+K])*(tab2[0]- 

v«*tab2[i])+u*tab1[0]*(tab1D+K-1Hab2[i+K-1l) I 
Ajouter y*x a sum, 
Executer x=x*u; 
35 5.3 Executer P(K)=u( K - 1 )*sum; 
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6. Calcui de P(1): 

Meme procede qu'a I'etape 5 en remplacant K par 1; 

7. Calcul de Q(K): 

7.1 Faire sum=0, sum2=0 et x=1, 

7.2 Pour i variant de 1 a 30*2 A L: 
Ajouter i*log2(i)*u( i - 2 ) a sum2; 
Executer les trois operations suivantes: 

calculer y=u2*(tab2[i+K-1]-tab1 [i+K]r((i+k)*tab2[0]- 
v i *tab2[i]>2(- L )*sum2)+u*(i+K-1 )*tab1[0]*(tab1[i+K-1]- 
tab2p+K-1]) t 
Ajouter y*x a sum, 
Executer x=x*u; 

7.3 Executer Q(K)=u( K " 1 )*sum 

8. Calcui de Q(1) 

Meme precede qu'a I'etape 7 en remplacant K par 1 

9. Calcui de c(L,K) 

c(L,K)=V(1-2/Var*(P(1 >P(K)-(Q(1 )-Q(K))/K) 

La deuxieme expression de c(L,K) est valable pour K>30*2k 
Elle se calcule d'apres le procede suivant en deux etapes: 
p rem iere etape: Lecture des valeurs de e(L) et d(L), e et d etant 
reels, listees dans le tableau suivant pour L compris entre 3 et 16: 



L 



d(L) 



e(L) 



3 



4 



5 
6 
7 
8 
9 

10 
11 
12 
13 



0, 2732725 

0,3045101 

0,3296587 

0,3489769 

0,3631815 

0, 3732189 

0,3800637 

0,3845867 

0,3874942 

0,3893189 

0,3904405 



0,4890883 
0,4435381 
0,4137196 
0,3941338 
0,3813210 
0,3730195 
0,3677118 
0,3643695 
0,3622979 
0,3610336 
0,3602731 



14 0,3911178 0.3598216 

15 0,3915202 0,3595571 

16 0,3917561 0,3594040 

Deuxieme etape: Calcul de la valeur c(L,K) a Taide de !a formule: 
e(L,K)=\(d(L)+e(L)*2 L /K) 



La troisieme expression de c(L,K) est valable pour L>16 et 
K>30*2k Elle est donnee par la formule suivante: 
10 c(L,K)=V(1-6/n 2 +2m2*(4*log(2)-1 )*2WK) 



La presente invention conceme egalement, comme cela a ete dit 
au debut de la description, page une, un dispositif electronique non 
represents par une figure ou un schema. Ce dispositif electronique est un 

15 dispositif d'auto-verification d'integrite physique d'un circuit integre s'auto- 
veriflant et controlant I'integrite de son generateur aleatoire a partir des 
trois variantes du procede de Pinvention, decrits egalement ci-dessus , ou 
plus explicitement a partir des trois expressions distinctes de la fonction 
c(L, K), ceci afin de s'assurer que ledit generateur fonctionne 

20 correctement en general et ne presente pas de derive suite a des 

changements de parametres extemes d'origine malveillante telle qu'une 
alteration par des radiations induites en particulier. 



De maniere preferentielle, le dispositif electronique effectuant le 
25 test est un dispositif portable, plus particulierement il consiste, par 
exemple, en une carte a puce, une carte sans contact, une carte 
PCMCIA, un badge, une montre intelligente. 



Enfin, le dispositif electronique de Pinvention peut etre un 
30 dispositif exterieur constitue d'une machine ou installation destinee a 

tester le bon fonctionnement de g^nerateurs aleatoires embarques a bord 
desdits dispositifs portables. Ce dispositif exterieur permet un echange 
d'infomnations avec le dispositif portable de maniere a verifier que le 
generateur aleatoire fonctionne correctement. Le dispositif exterieur inter- 




agit avec 
aleatoire. 



iedispositif portable pour verifier 



s 

Hntegritede son generates 



* 



* 
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REVENDICATIONS 



1. Procede de test de source de nombre aleatoire embarque a 
bord d'un systeme cryptcgraphique, du type carte a puce, comprenant les 
5 etapes suivantes: 

- premiere etape: generation d'une sequence de (Q+K)*L bits par 
la source aleatoire, Q, K et L etant des parametres d'entree, lesdits bits de 
la sequence etant groupes par bloc de L bits, formant une sequence 
d'entiers compris entre 0 et 2 1 — 1 de longueur Q+K, la longueur etant 
10 memorisee dans le tableau block[n], ou n est compris entre 1 et Q+K. 




- deuxieme etape: calcul du parametre du test, note fTU, 



15 



comprenant les etapes suivantes, appelees sous-etapes, 2.1 a 2.5 

2.1 creation et initialisation d'un tableau tab [i] de taille 2 L ; 

2.2 pour n variant de 1 a Q, execution du calcul: 
tabfblock[n]]=n; 

2.3 initialisation du nombre Sum a 0; 

2.4 pour n variant de Q+1 a Q+K, execution du calcul en 
deux operations: 



- addition du Iog(n-tab[block[n]] a Sum; 



20 



- execution du calcul: tab[block[n]]=n; 
2.5 le parametre fTU du test etant donne par le calcul de la 
formule: 



fTU=(Sum/K)/Log(2); 



- troisieme etape: calcul de (a variance par block de parametre du 
test, notee Var, a partir de r expression suivante: 



Var= (1-z)* I log2(i)2*z«-1 - ((1-z)*Z log2(i)*z>-1 )2 t 




avec log2(z)=log(z)/Iog(2) et 2=1-2"*- 



30 



- quatrieme etape: Calcul de la fonction c(L,K); 

- cinquieme etape: Calcul de Tecart type du parametre de test, 

note cr a partir de la formulation: a=c(L,K)*>/(Var/K); 



• 
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- sixieme etape: caicul du parametre y; y etant determine a partir 

du taux de rejet du test fixe en entree, note p, y devant 
verifier i'equation: N(-y)= p . 
N est la fonction de densite nonmale 
5 - septieme etape: caicul de la valeur moyenne ideate du test, 

notee E[fTU], donnee par la formule suivante. 

E[fTU]= (1-z)* I log2(i)2*z i - 1 

i =1 

io avec log2(z)=log(z)/log(2) et 2=1 -2^ 

- huitieme etape: Caicul des bomes t1 et t2. Elies sont donnees 

par I'equation: 

t1=E[fTU]-y*cF et t2=E[fTU]+y*a ; 

- neuvieme etape: resultat du test : le generateur de nombre 

15 aleatoire etant accepte si ie parametre du test fTU est compris entre t1 et 
t2, et rejete dans le cas contraire, 

ledit procede etant caracterise en ce que la quatrieme etape 
consiste en un caicul de la fonction c(LK) valable quelques soient les 
parametres L et K. 



20 
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2. Procede de test de source de nombre aleatoire selon la 
revendication 1 caracterise en ce que la quatrieme etape consiste en un 
caicul de la fonction c(L,K) valable dans le cas ou la valeur de L est 
compris entre 3 et 16 et la valeur de K est superieur a 30*2 L . 

3. Procede de test de source de nombre aleatoire selon la 
revendication 1 caracterise en ce que la quatrieme etape consiste en un 
caicul de la fonction c(LK) valable pour une valeur de L>16 et une valeur 
de K>30*2 L . 



4. Procede selon la revendication 1 caracterise en ce que le 
caicul de la fonction c(L,K) comporte neuf etapes: 
1. caicul de: u=1-2" L et v=1-1/(2 L -1); 
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u et v etant des reels; 

2. creation de deux tableaux tab1 et tab2 de dimension 60*2 L : 

3. remplissage des tab1 et tab2: pour cela, 

3.1 execution z=u, sum=0, z1=1; 

3.2 pour i variant de 1 a 30*2 L , repetition des deux 
operations etant: 

addition de log2(i)*z1 a sum, dans laquelle log2 
designe le logarithme en base 2, et 
calcul de z1=z1*z; 

3.3 execution de tab1[0]=(1-z)*sum: 

3.4 pour i variantde 1 a 60*2*-, 

execution de tab1[i]=(tab1 [\^}-0'Zy\og2(\))/z 

3.5 repetition les etapes 3.1 , 3.2, 3.3, 3.4 en remplacant u par v 
ettabl partab2; 

4. calcul de la variance par bloc notee Var; 

4.1 execution de sum=0 et x=1 ; 

4.2 pour t variant de 1 a 30*2 L , execution les deux operations 
etant: 

addition de log2(i) 2 *x a sum et 
execution x=x*z 

4.3 caicul Var=sum/2 L -tab1[0] 2 ; 

5. calcul de P(K): 

5.1 calcul de sum=0 et x=1 ; 

5.2 pour i variant de 1 a 30*2 L : execution des trois operations 

suivantes: 

calcul de y: y=u2*(tab2[i+K-1]-tab1[i+K])*(tab2[0]- 
v i *tab2[i])+u*tab1[0]*(tab1[i+K-1Hab2[i+K-1]) l 
addition de y*x a sum, 
execution x=x*u; 

5.3 executionP(K)=u( K * 1 )*sum; 

6. calcul de P(1): 

memes operations qu'a Tetape 5 en remplacant K par 1 ; 

7. calcul de Q(K): 

7.1 execution de sum=0, sum2=0 et x=1 , 
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7.2 pour i variant de 1 a 30*2 A L: 
addition de i*log2(i)*u('-2) a sum2; 
execution ies trois operations suivantes: 

calcul de y=u2*(tab2[i+K-1]-tab1 [i+K])*((i+k)*tab2[0]- 

vi*tab2[i])-2(- L )*sum2)+u*(i+K.1)*tab1[0r(tab1[i+K-1]- 

tab2[i+K-1]), 

addition de y*x a sum, 

execution de x=x*u; 

7.3 execution de Q(K)=u( K ~ 1 )*sum 

8. caicul de Q(1) 

meme procede qu'a I'etape 7 en remplacant K par 1 

9. calcul de c(L,K) 

c(L,K)=V(1-2A/ar*(P(1)-P(K)-(Q(1)-Q(K))/K) 
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5. Procede selon la revendication 2 caracterise en ce que la 
fonction c(L,K) comporte deux etapes: 

Premiere etape: Lecture des valeurs de e(L) et d(L), e et d etant 
20 des reels, listees dans le tableau suivant, pour L compris entre 3 et 16: 



25 



30 



35 



L 


d(L) 


e(L) 


3 


0, 2732725 


0,4890883 


4 


0,3045101 


0,4435381 


5 


0,3296587 


0,4137196 


6 


0,3489769 


0,3941338 


7 


0,3631815 


0,3813210 


8 


0, 3732189 


0,3730195 


9 


0,3800637 


0,3677118 


10 


0,3845867 


0,3643695 


11 


0,3874942 


0,3622979 


12 


0,3893189 


0,3610336 


13 


0,3904405 


0,3602731 


14 


0,3911178 


0,3598216 


15 


0,3915202 


0,3595571 



16 0,3917561 0,3594040 

Deuxieme etape: Calcul de la valeur c(L,K) a I'aide de la formule: 
c(L,K)=V(d(L)+e(L)*2L/K) 

6. Procede selon la revendication 3 caracterise en ce que le calcul 
de la fonction c(L,K) est realisee par la formule suivante: 

c(L l K)=V(1-6/n2+2/n2*(4*log(2)-ir2WK) 

7. Dispositif electronique d'auto- verification d'integrite physique 
d'un circuit integre s'auto-verifiant et controlant I'integrite de son 
generateur aleatoire, afin de s'assurer que ce dernier fonctionne 
correctement en general et ne presente pas de derive suite a des 
changements de parametres externes d'origine malveiilante telle qu'une 
alteration par des radiations induites en particulier, caracterise en ce que 
ledit dispositif met en oeuvre le procede de test selon Tune quelconque 
des revendications 1 a 6. 

8. Dispositif electronique seion la revendication 7 caracterise en 
ce que le dispositif effectuant le test est un dispositif portable. 

9. Dispositif electronique selon la revendication 8 caracterise en 
ce que le dispositif est une carte a puce. 

10. Dispositif electronique selon la revendication 8 caracterise en 
ce que le dispositif est une carte sans contact. 

1 1 . Dispositif electronique selon la revendication 8 caracterise en 
ce que le dispositif est une carte PCMCIA. 

12. Dispositif electronique selon la revendication 8 caracterise en 
ce que le dispositif est un badge. 

13. Dispositif electronique selon la revendication 8 caracterise en 
ce que le dispositif est une montre intelligente. 
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14. Dispositif electronique selon Tune quelconque des 
revendications 1 a 6 caracterise en ce qu'un dispositif exterieur effectuant 
ie test est constitue d'une machine ou installation destinee a tester le bon 
5 fonctionnement de generateurs aleatoires ernbarques a bord desdits 
dispositifs portables. 



